三大类别概括域名系统安全问题-阿里云开发者社区

开发者社区> 寒凝雪> 正文

三大类别概括域名系统安全问题

简介:
+关注继续查看

从域名解析过程可以看出,当本地域名服务器缓存不能直接提供域名对应的IP地址时,解析过程必须经过域名根服务器或其镜像服务器。而所有辅根服务器及其镜像需定期从主根服务器同步更新全球域名信息。从技术上看,只需删除主根域名服务器的相关记录,使其国家顶级域名失效,即可实现让一个国家从互联网上消失。

当前,全球互联网域名系统中,唯一的主根服务器设在美国,美国政府授权ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)进行控制;12个辅根服务器中9个设在美国,其他3个分别设在英国、瑞典和日本。由于其他根服务器及镜像的域名信息均复制于主根服务器,因此美国事实上控制了全球所有国家和地区的域名解析,具备将一个国家从互联网上“抹去”的能力和条件。

一旦与某国发生冲突,美国在技术上完全可以停止对该国域名的解析,使其网站无法被外界访问。据报道,伊拉克战争期间,美国终止了伊拉克国家顶级域名。IQ的解析[2];在塔利班政权统治阿富汗时期,美国将阿富汗国家顶级域名。AF的管理权授予前流亡政府;2004年4月,由于对顶级域名管理权问题发生分歧,导致利比亚国家顶级域名。LY瘫痪[4],利比亚从互联网上“消失”了3天。

当前针对域名系统的攻击手段多种多样,总结起来主要包括以下三类:

一是分布式拒绝服务攻击(DDOS)。由于域名系统协议存在体系开放、无认证、无连接和无状态等特点,使其更易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务攻击主要采用基于正常域名请求、反弹式、大流量阻塞等三种途径。

二是DNS欺骗攻击,通过技术手段向缓存域名服务器注入非法域名解析记录,当用户向被攻击的缓存域名服务器提交域名请求时,将会返回攻击者预先设定的IP地址。

三是域名劫持攻击[3],攻击者控制域名管理密码和域名管理邮箱后,将该域名的NS纪录指向到攻击者可以控制的DNS服务器,然后通过在该DNS服务器上配置相应域名纪录,使用户访问该域名时,实际指向攻击者预先设定的主机。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
中国反钓鱼网站联盟:CN域名下网站安全性能提升
截至日前,中国反钓鱼网站联盟秘书处共接到联盟成员的反钓鱼网站投诉3100例,经与第三方技术认定机构协同判定,认定并停止了2720个钓鱼网站相关域名的解析,日均处理钓鱼网站60余起。专家指出,我国反钓鱼网站联盟高效快速处理机制已趋成熟,CN域名下网站安全环境得到了较大的优化。
778 0
《VMware Virtual SAN权威指南(原书第2版)》一3.5 可能发生的网络配置问题
本节书摘来自华章出版社《VMware Virtual SAN权威指南(原书第2版)》一 书中的第3章,第3.5节,作者:[美] 科马克·霍根,邓肯·埃平,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2276 0
阿里云ECS进阶训练营Day3 部署微擎系统
阿里云ECS进阶训练营Day3 部署微擎系统
99 0
+关注
5854
文章
223
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载